é de Gemalto marche devant le siège du groupe à Gémenos, dans les Bouches-du-Rhône, le 10 novembre 2009 (Photo : Gérard Julien) |
[25/02/2015 09:56:03] Paris (AFP) Le fabricant français de cartes SIM Gemalto a confirmé mercredi avoir subi plusieurs “attaques sophistiquées” en 2010 et 2011 mais pas le “vol massif” attribué par des documents dévoilés la semaine dernière aux services d’intelligence américain et britannique.
Le numéro un mondial du secteur -qui se présente comme “le leader de la sécurité numérique”- affirme dans un communiqué que ces attaques n’ont touché “que des réseaux bureautiques” et qu’en conséquence “elles n’ont pas pu avoir pour résultat un vol massif de clés d’encryptage de cartes SIM”.
The Intercept, un site de journalisme d’investigation, a affirmé le 20 février, se basant sur des documents fournis par Edward Snowden, que Gemalto avait subi un piratage massif de la part de l’agence britannique GCHQ (Government Communications Headquarters) et l’américaine NSA (National Security Agency).
Ces deux services auraient ainsi dérobé -au moins en 2010 et 2011 selon les documents cités – des clés de cryptage leur permettant de prendre le contrôle d’un très grand nombre de cartes SIM, afin de reconstituer “des conversations sur des téléphones mobiles sans l’aval des autorités ou des opérateurs téléphoniques” et de déchiffrer des conversations cryptées déjà interceptées.
“Sur la période couverte par les documents de la NSA et le GCHQ, nous confirmons avoir fait face à plusieurs attaques. En 2010 et 2011 précisément, nous avons détecté deux attaques particulièrement sophistiquées qui pourraient être reliées à cette opération”, indique Gemalto dans son communiqué.
Toujours au cours de la période concernée, le groupe indique avoir “également détecté plusieurs tentatives d’accès aux ordinateurs de collaborateurs de Gemalto ayant des contacts réguliers avec des clients”.
“A l’époque, nous n’avons pas pu identifier les auteurs de ces attaques mais maintenant nous pensons qu’elles pourraient être liées à l’opération du GCHQ et de la NSA”, poursuit-il.
Le groupe indique aussi que “ces intrusions n’ont affecté que des parties externes des réseaux de Gemalto, c’est-à-dire les réseaux bureautiques qui sont en contact avec le monde extérieur. Les clés de cryptage et plus généralement les données client ne sont pas stockées sur ces réseaux”.
Détaillant ces opérations de piratage, l’entreprise explique qu’elles ciblaient “la phase d’échange de clés entre l’opérateur et ses fournisseurs”, c’est-à-dire lorsque le fabricant transmet à son client la clé de cryptage correspondant à chacune des cartes livrées.
– attaques limitées à la 2G –
Gemalto indique avoir “généralisé bien avant 2010 les processus d’échanges hautement sécurisés”, mais elle souligne aussi que “certains opérateurs ou fournisseurs ne souhaitaient pas les utiliser”: “dans le cas de Gemalto, la non-utilisation du protocole d’échange sécurisé était exceptionnelle”, affirme le groupe.
agence britannique GCHQ (Photo : Maleroux) |
Selon le groupe qui a mené une “investigation approfondies” depuis les révélations de The Intercept, “seuls quelques cas exceptionnels ont pu aboutir à un vol”, et les données “éventuellement volées par cette méthode ne sont exploitables que dans les réseaux de deuxième génération (2G)” qui servent à acheminer la voix, et non pas de la data (comme des mails ou des fichiers).
“Les réseaux 3G et 4G ne sont pas vulnérables à ce type d’attaque. Aucun autre produit de Gemalto n’est concerné par cette attaque”, tient à préciser l’entreprise.
Elle reconnaît cependant que “si les clés de cryptage de cartes SIM 2G étaient interceptées par les services de renseignement, il leur était techniquement possible d’espionner des communications lorsque la carte était utilisée dans le téléphone mobile de l’abonné”.
Mais selon elle, “en supposant que les clés aient été interceptées, la capacité à intercepter les appels aurait toutefois été limitée dans le temps, car la plupart des cartes SIM 2G en service à l’époque dans les pays ciblés étaient des cartes prépayées avec un cycle de vie très court, généralement entre 3 et 6 mois”.
Gemalto, dont l’image a été écornée par ces révélations, indique que ses produits, son infrastructure et ses processus “sont conçus pour assurer le plus haut niveau de sécurité”.
L’entreprise se dit également “préoccupée” par le fait que “des autorités d’État aient pu lancer de telles opérations contre des sociétés privées non coupables d’agissements suspects”.
Lundi, Gemalto, qui emploie 12.000 salariés et compte parmi ses clients plus de 400 grands opérateurs, avait affirmé que le préjudice financier prévisible de cette affaire ne devrait pas être “significatif”.
Ces annonces ont été bien accueillies par le marché. Vers 10h00, le titre progressait de 2,65% à 71,25 euros à la Bourse de Paris, dans un marché proche de l’équilibre (-0,12%).